Gartner发布中国数据出境安全评估准备指南：利用技术简化安全评估的重启流程

在中国有业务往来的企业机构可能需要开展当地政府主导的业务数据和个人数据出境安全评估。跨国公司的安全和风险管理（SRM）领导者必须提前计划，避免数据传输和业务运营的中断。 

影响

• 并非所有数据出境都会触发政府主导的安全评估。然而，一旦触发评估，企业机构就需要在进行数据传输之前向相关部门报批。

• 政府主导的安全评估可能需要几个月才能完成，若不能及时响应，可能会中断现行的数据传输或影响新项目的上线。

• 如果传输数据的处理流程发生变化，或者接收国的监管环境有所改变，企业机构将需要重新申请政府主导的安全评估。这就将安全评估从一个周期性的行动变成了一系列持续的运营工作。

• 政府主导的安全评估结果和中国监管部门提供的指导意见，将促使企业机构重新审视其中国数据本地化和IT隔离战略。

建议

在中国经营或业务与中国有关的跨国公司的安全和风险管理（SRM）领导者应：

• 根据出境数据的敏感程度和规模，确认企业机构的出境数据传输是否符合申请政府主导的安全评估的条件。

• 为正在进行的数据出境传输准备并申请政府主导的安全评估，或在将要进行的数据传输开始前至少三个月做此准备。

• 利用技术（如流程自动化、工作流管理、数据发现和映射、数据活动监测，以及审计和风险评估）简化安全评估的重启流程，并为流程的完整性设立正式的审查程序。

• 在规划未来在中国的IT布局和运营时，将期中的风险分析发现和政府主导的安全评估结果纳入考量。

导语

中华人民共和国国家互联网信息办公室——中国的最高网络安全机构，颁布了《数据出境安全评估办法》（以下简称《办法》），于2022年9月1日生效。该办法为数据出境传输的安全评估和审批提供了框架，不仅适用于个人信息，也适用于比个人数据范围更广的重要数据。

这一办法的实行，对于在中国经营的跨国公司意味着大量的合规风险，对其正在进行的或即将要进行的数据传输活动具有重要影响。因为企业只有最终通过政府主导的安全评估，才可以继续数据传输活动。

对于2022年9月之前已经开展的数据出境活动，《办法》提供了6个月的过渡期（截至2023年3月1日），用于整改不符合该办法规定的数据传输。2022年9月之后的数据出境传输（如符合适用标准）则必须完成安全评估，经国家网信部门审批后方可进行传输活动。企业机构必须提前做好计划，以防数据传输或业务运营的中断（见图1）。

图1：数据出境安全评估办法的基本框架

影响和建议

政府主导的安全评估，只有在数据达到一定敏感程度或规模时才会触发

如今，在中国从事国际贸易的公司无论行业和规模如何，其日常运营都或多或少地依赖数据跨境流动。数据跨境传输能力已经成为生产力、创新和业务增长的重要组成部分和关键推动力。限制或丧失数据出境传输会导致管理和运营成本的增加；削弱产品创新，使产品无法及时进入市场；或使产品价格缺乏吸引力。

受《办法》监管的数据出境传输活动，主要分为三种情况（见图2）：

• 直接出境：使用部署在境外的应用系统处理在中国境内收集或产生的数据；或使用厂商提供的软件即服务（SaaS）服务（比如客户关系管理[CRM]、人力资本管理、企业资源规划[ERP]），但该SaaS服务在中国境内没有部署本地系统设施。在这种情况下，数据没有在本地存储。

• 同步出境：在中国境内收集或产生的数据首先会在本地存储，然后同步到境外部署的另一个数据存储库，用于不同的商业目的，比如数据整合或分析。

• 境外访问：允许位于境外的用户（如数据分析师、IT运维人员、托管安全服务厂商）远程访问存储在本地的数据。

图2：数据出境的三种情况

这三种情况都受《办法》的制约，但并非所有数据出境活动都需要申请政府主导的安全评估。只有当中国的数据处理者满足下列条件（见图3）时，才需要申请政府主导的安全评估。

• 数据敏感程度：数据处理者

o   被定义为中国的关键信息基础设施运营者（CIIO）

o   向境外提供重要数据（重要数据的定义须遵循相关机构发布的指南，如CAC或行业监管机构）

• 数据规模：数据处理者

o   自当年1月1日起累计向境外提供100万人以上个人信息

o   自当年1月1日起累计向境外提供1万人以上敏感个人信息

图3：触发政府主导安全评估的决策树

2024年3月，网信办发布的《促进和规范数据跨境流动规定》提出放宽数据跨境传输的合规要求。该《规定》规定了在满足具体条件的情况下，数据出境的企业机构可以免于申报数据出境安全评估、订立个人信息出境标准合同，或获得个人信息保护认证，从而促进中国大陆以外的数据流通。

对于处理少量个人信息或仅以订立或履行合同为目的而收集个人信息的跨国公司而言，该合规要求调整如果得以实施，将会极大减轻他们的合规负担。然而，《规定》并未免除数据出境企业机构在进行数据出境活动时获取数据主体个人同意的义务。

如果企业机构数据的敏感程度或规模未达到上述标准，则无需申请政府主导的数据出境安全评估。对于处理个人数据的企业机构来说，数据出境安全评估规定并不是适用于境外传输的唯一条件。SRM领导者应咨询法务部门，明确适用的其他条件，包括与境外数据接收者订立标准合同，或向授权机构申请认证。

如果政府主导的安全评估确为必要，相关企业机构必须立即响应合规要求。如不合规，则视为违反了《中国网络安全法》、《数据安全法》、《个人信息保护法》和/或相关刑法规定。这可能会导致企业数据传输中断、吊销营业执照或面临高额罚款 。

建议：

如果企业机构的数据出境活动受到《办法》的监管，安全和风险管理（SRM）领导者必须：

• 对直接出境、同步境外或境外访问的数据类型（个人数据和重要数据）和数据规模进行梳理。

• 根据数据的敏感程度和规模，确定企业机构的数据出境传输是否需要申报政府主导的安全评估。

• 如政府主导的安全评估不适用于企业机构的个人数据传输，根据《个人信息保护法》的规定，申请其他合法的个人数据出境途径。

长时间的申请和评估流程可能会使计划中的项目延期

根据网信办发布的信息，完成安全评估大约需要三个月。企业机构需要提前计划，尽早根据新要求进行调整，以防数据传输中断或新项目上线延迟。网信办的一系列规定指出，企业机构须至少采取以下四个步骤来准备和申请政府主导的安全评估：

1.    将数据出境传输事宜通知数据主体，并且获得数据主体的个人同意。

2.    在政府主导的安全评估开始前，对数据出境活动进行隐私影响评估（PIA）和风险自评（参考网信办提供的风险自评模板）。

3.    通过合同、技术或组织层面等措施，填补上一步中发现的差距。

4.    向当地网信部门申请政府主导的安全评估。

向当地网信部门申报评估需提供必要材料。SRM领导者应与安全、隐私、法务、合规和业务部门的关键利益相关者沟通，准备必要的材料。材料不全或信息不准确，可能会导致安全评估取消或失败。

SRM领导者应准备：

• 完整的申报表——使用网信办提供的申报表模板。请注意，申报表中须指明企业机构数据安全负责人。

• 数据出境风险自评估报告——使用网信办提供的自评估报告模板。

• 数据提供者与中国境外数据接收方之间的合同或法律文件——申报表模板中列出了相关条款。对于个人数据出境，个人信息出境标准合同条款可作为制定相关合同或法律文件的参考依据。

• 其他材料——网信办要求的其他材料。

建议：

鉴于准备所需申报材料和完成安全评估所需的时间很长，SRM领导者应：

• 开展PIA和风险自评并定期复核，以发现差距并及早计划整改。

• 与IT安全团队和隐私办公室合作，结合技术措施和组织层面措施，制定并实施整改办法。整改措施和整改结果都必须记录在风险自评估报告中。

• 与内部法务和合规团队合作，根据数据传输目的和背景，制定与境外数据接收方签订的合同和法律文件。

安全评估从周期性的行动变为持续性合规工作

通过数据出境安全评估的结果有效期为2年。数据处理者应当在有效期届满60个工作日前重新申报评估。在有效期内出现以下情形之一的，数据处理者应当重新申报评估：

• 向境外提供数据的目的、方式、范围、种类发生变化

• 境外接收方处理数据的用途、方式发生变化

• 境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化

• 数据处理者或者境外接收方实际控制权发生变化

• 数据处理者与境外接收方法律文件变更，影响了出境数据安全

作为跨国公司，如果其快速增长的新业务依赖数据跨境流动，则应预见到对安全评估的准备和申报将成为一项持续性运营工作。这会增加管理合规成本，例如监测不同的法律变化、与境外数据接收方洽谈合同，以及生成风险评估和合规报告。

由此产生的合规成本，对于大型企业来说也许可以忽略不计，但对于中小型企业（SME）来说仍是一个重要问题。表1列出的技术，可以帮助企业机构实现合规管理工作和流程的标准化、自动化。

表1: 促进合规管理标准化和自动化的技术

技术	能力
IT风险管理（ITRM）解决方案	ITRM解决方案的核心能力包括工作流管理、风险分析、报表生成、数字资产发现、数据集成和第三方。ITRM解决方案提供了取代数字环境中协调风险治理所需的人工介入操作，切实地节约成本。
持续合规自动化（CCA）	CCA将合规和安全政策整合到DevOps交付通道，使企业能够在交付的各个阶段纳入合规策略，并且在不影响运营灵活性的前提下持续执行合规策略。
隐私管理工具	隐私管理工具帮助企业机构获取合规洞察力，并根据监管要求检查数据处理活动。它们能够梳理隐私流程和工作流，提升对数据流和治理成熟度的了解，并提供审计能力，以体现合规性，特别是在跨多个司法辖区的情况下。
数据安全平台（DSP）	DSP汇总了不同数据类型、存储孤岛和生态系统的数据保护要求，大大增加了数据及其使用的可见性和控制力。成熟的DSP可以监测数据活动或开展数据风险评估，以实现数据安全和隐私相关的合规目标。

如果跨国公司需要在一个地区集中存储和处理从不同司法辖区（如中国、欧洲和美国）收集的客户数据，则其需要具备对数据进行差异化处理的能力。例如维护多个版本的应用——在部署于中国境内的旧版本上运行中国的个人数据，以避免经常触发重新申报程序；同时在部署于中国境外的后期版本上运行欧洲和美国的个人数据。

建议：

面对反复出现的合规任务和不断增加的管理成本，SRM领导者应：

• 针对重新申报政府主导的安全评估的情况，制定内部规则和流程，并且为确保流程的完整性设立正式的审查程序。

• 确保其制定的流程获得了业务负责人、法务、合规、数据与分析，以及隐私部门的认可，并且已事先和这些部门充分沟通。

• 采用符合企业机构需求和IT成熟度的技术（例如流程自动化、工作流管理、数据发现和映射、数据活动监测和审计，或风险评估），简化和实施安全评估重新申报的流程。

安全评估结果促使企业机构重新审视本地化策略

在撰写本报告的同时，Gartner的客户询问表明，中国大多数受《办法》监管的跨国公司已经开始准备申报或正在进行安全评估，但正式通过审批的申报数量有限。申报未通过的原因和对未通过申报的指导意见尚未公布。

不过，对于不符合《办法》要求的情况，一般的整改方向包括（但不限于）：

• 对于数据流和数据存储，采用以数据为中心的技术性控制（例如数据脱敏、令牌化、加密和访问控制）

• 对于境外数据处理和传输，补全用户同意书

•  强化数据处理者和数据接收方的应用和IT基础设施安全态势

• 提高数据安全和隐私管理能力

• 修改与境外数据接收方的合同或法律文件

• 在本地存储和处理数据（通常涉及云服务的设计和获取）

由于网信办可能要求整改以及由此可能产生额外的管理和运营成本，企业机构应重新审视在中国的数据本地化和IT隔离的战略。

数据本地化

中国相关部门已经根据相关法律和行业法规颁布了数据本地化要求（下列法规并非全部）：

• 《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》2011年

• 《人口健康信息管理办法（试行）》2014年

• 《地图管理条例》2015年

• 《中华人民共和国网络安全法》2017年

• 《中华人民共和国数据安全法》2021年

• 《中华人民共和国个人信息保护法》2021年

• 《汽车数据安全管理若干规定（试行）》2021年

数据本地化路线有三种——绝对本地化、有条件的本地化和镜像本地化，各自有不同的实施解释，而上列每条对数据本地化做出要求的法律法规都符合其中一种，对运营和业务产生影响。

企业机构需要明确哪些法律和监管要求适用于其在中国的现有业务和未来扩张计划，并且在选择本地化路线时，需要同时考虑企业机构的风险偏好和中国市场产生的业务价值。一旦决定进行数据本地化，则需要采取积极措施来评估并遏制数据本地化项目带来的安全风险。

中国的IT隔离

在中国开展业务的跨国公司，传统上会采用联邦模式来运营在中国的IT。IT部门会将应用系统和系统运营职能集中在全球总部或区域总部以实现规模经济，而部分对于支持当地业务运营必不可少的应用系统和系统运营职能则在中国进行本地化。

在考虑是否有必要专门为中国市场搭建一个独立的IT环境时，除了法律和合规性的考量（例如数据本地化、等保2.0），还要考虑到其他业务和技术层面，比如业务生态系统和协同作用、服务和技术提供商的可用性。

建议：

面对政府主导的安全评估各种可能的结果和后续整改要求，SRM领导者应：

• 做好应对规划，评估未来可能采取的整改措施的实施效果和时间。

• 根据中国业务现状以及未来扩张计划，评估企业机构是否需要遵循已经颁布的数据本地化要求。

• 建立决策树，帮助企业机构平衡风险偏好和业务价值，就中国的数据本地化和IT隔离的路线做出可复用的决策。